CN113946826A - 一种漏洞指纹静默分析监测的方法、系统、设备和介质 - Google Patents

Abstract

本发明提出了一种漏洞指纹静默分析监测的方法、系统、设备和介质，该方法包括训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；漏洞扫描的同时增加网络空间测绘功能生成资产报告，并采用UI显示资产报告。基于该方法，还提出了一种漏洞指纹静默分析监测的系统、设备和存储介质。本发明自定义漏洞框架，针对最新漏洞及时编写上传脚本进行检测，做到应急响应及时准确。致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平，及时发现设备及系统面临的攻击风险。

Description

一种漏洞指纹静默分析监测的方法、系统、设备和介质

技术领域

本发明属于软件开发技术领域，特别涉及一种漏洞指纹静默分析监测的方法、系统、设备和介质。

背景技术

当前，网络攻击层出不穷，如果不能及时发现并修复内部漏洞，规范网络安全行为，提前发现并处置已有的安全隐患，将对业务系统造成不可逆的影响。

但是传统的漏洞扫描技术存在以下问题：第一，难以快速适应安全风险变化的需要。采用传统的漏洞扫描设备，存在安全库更新缓慢、实时性较差的问题，在曝出0day漏洞后，无法快速有效地对系统、设备等进行漏洞有效验证，且扫描的脚本版本较低、无法自主可控，可能对业务系统造成不可逆的影响。其中0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。第二，安全风险漏报误报较多。由于操作系统、中间件、数据库等环境的复杂多样，部分扫描工具对于漏洞的发现检测通过系统版本号实现，存在漏报误报现象，需要安全运维人员进一步分析确认，耗时耗力。第三，无法智能化扫描分析。传统的扫描工具依据端口判断服务，然后调用脚本进行攻击，可能存在更改端口导致无法检测的情况。而且聚焦于单一漏洞，无法对绝大多数漏洞进行统一的智能化扫描，无法对漏洞进行快速精准的排查及智能分析，以便对当前网络脆弱性做统一判断。

发明内容

为了解决上述技术问题，本发明一种漏洞指纹静默分析监测的方法、系统、设备和介质，用于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平。

为实现上述目的，本发明采用以下技术方案：

一种漏洞指纹静默分析监测的方法，包括以下步骤：

训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；

漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；

漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

进一步的，所述方法还包括通过图像化界面显示所述资产报告。

进一步的，所述漏洞扫描引擎应用的范围包括但不限于操作系统类漏洞、应用系统框架类漏洞和中间件漏洞。

进一步的，所述训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测的过程为：

获取所需漏洞信息和所需漏洞样例，并采用标记性语言建立漏洞信息描述文件、以及将漏洞样例转化为漏洞样例代码，使用标记性语言和漏洞样例代码建立漏洞库；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

进一步的，所述建模算法建立的过程为：

获取大量的硬件设施告警信息和大量软件系统的缺陷报告作为漏洞识别规则的训练集；

对所述训练集进行特征提取生成每个训练样本的特征向量；所述特征提取包括元特征、文本特征和代码特征；

特征向量生成之后，采用支持向量机作为漏洞自动化识别模型的框架，选择径向基函数作为核函数，进行调参和训练，构建出自动化识别模型。

进一步的，所述漏洞扫描的同时，增加网络空间测绘功能生成资产报告的过程为：

通过分析目标网络的互联网资产建立知识库；

通过对终端进行分类，根据所述知识库生成相关资产报告。

进一步的，所述方法还包括：根据所述相关资产报告绘制资产画像，通过资产画像查询中间件或者ftp服务的资产详情，用于快速发现违规端口以及细粒度管控资产服务开放情况。

本发明还提出了一种漏洞指纹静默分析监测的系统，包括训练模块、扫描模块和测绘模块；

所述训练模块用于训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；

所述扫描模块用于漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；

所述测绘模块用于漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

本发明还提出了一种设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现所述的方法步骤。

本发明还提出了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现所述的方法步骤。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

本发明提出了一种漏洞指纹静默分析监测的方法、系统、设备和介质，该方法包括训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；漏洞扫描的同时，增加网络空间测绘功能生成资产报告。基于一种漏洞指纹静默分析监测的方法，还提出了一种漏洞指纹静默分析监测的系统、设备和存储介质。本发明采用了漏洞指纹建模分析设计，在精准识别的基础上开展漏洞挖掘，尽可能的减少发包量，提高漏洞识别的准确性、可用性，目前机器人共集成了73个可用漏洞检测脚本，经过有监督学习，常用脚本的识别率已达到了98％。集成的漏洞脚本均经过了不少于3次的针对性训练，并在此基础上采取多方复核的方式，层层验证，尽可能减少对业务系统造成的影响。

本发明可以自定义的漏洞框架，针对最新漏洞可以及时编写上传脚本进行检测，做到应急响应及时、准确。

本发明致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平，及时发现设备及系统面临的攻击风险。

附图说明

如图1为本发明实施例1提出的一种漏洞指纹静默分析监测的方法流程图；

如图2为本发明实施例2提出的一种漏洞指纹静默分析监测的系统示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

实施例1

本发明实施例1提出了一种漏洞指纹静默分析监测的方法，致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升公司网络安全防护水平，及时发现设备及系统面临的攻击风险。如图1为本发明实施例1提出的一种漏洞指纹静默分析监测的方法流程图；

在步骤S101中，训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测。

本发明采用漏洞扫描引擎，用以对操作系统类漏洞、应用系统框架类漏洞以及weblogic、tomcat等常见中间件漏洞等进行准确扫描。

为保证漏洞脚本的准确性，每一个脚本都经过了不少于3次针对性的训练，并针对软硬件不同版本进行了优化。

本发明人提供了可以自定义的漏洞框架，针对最新漏洞可以及时上传POC进行检测，做到应急响应及时、准确，其中POC为一段说明或者一个攻击的样例。

其中POC漏洞样例进行检测的步骤为：

从公开漏洞网站爬取所需漏洞信息，使用YAML建立具体信息的漏洞描述文件，从公开漏洞网站爬取所需的poc文件，并转化为poc代码，使用YAML及poc代码建立检测所用的漏洞库；

将获取的poc代码集成到漏洞扫描引擎中；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

在步骤S102中，漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；本发明利用端口开放情况、调用回显、探测识别等信息进行统一建模，通过建模算法对上千种不同的漏洞情况进行训练和学习，尽可能的减少误报、漏报，极大的节约了测试人员的时间成本。

其中建模算法的训练和学习步骤为：

收集一系列的硬件设施告警信息和软件系统的缺陷报告作为漏洞识别规则的输入，输入中的一部分与安全漏洞有关，另一部分与安全漏洞无关。

以上述输入作为待训练的训练集，对其进行特征提取，包括元特征、文本特征和代码特征。

在生成特征向量之后，利用支持向量机(SVM)作为漏洞自动化识别模型的框架，选择径向基函数(RBF)作为核函数，经过一系列的调参与训练，构建模型参数精确调整的漏洞自动化识别模型。

上述提取的多类特征用于生成每个训练样本的特征向量，每个特征向量有一个对应的标签标示缺陷报告的类型

本发明采用全自动AI识别机制可以通过自学习分析漏洞扫描扫结果，摆脱了以往只注重漏洞的扫描形式，专注于网络整体安全情况，通过对资产漏洞情况统计分析，及时了解网络安全漏洞脆弱点。

在步骤S103中，漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

先将目标网络IT资产进行分析并建立知识库；

在探测漏洞的同时，可以生成相关资产报告，并按照安全设备、网络设备、普通终端、Web服务等6个维度细分终端；

绘制资产画像，可查询具体某个中间件、ftp服务的资产详情，快速发现违规端口、细粒度管控资产服务开放情况，做到资产一览无余。

在步骤S104中，本发明对UI进行了设计，支持图形化界面，即使不是专业的技术人员也能很好的使用。

本发明采用了漏洞指纹建模分析设计，在精准识别的基础上开展漏洞挖掘，尽可能的减少发包量，提高漏洞识别的准确性、可用性，目前机器人共集成了73个可用漏洞检测脚本，经过有监督学习，常用脚本的识别率已达到了98％。集成的漏洞脚本均经过了不少于3次的针对性训练，并在此基础上采取多方复核的方式，层层验证，尽可能减少对业务系统造成的影响。

本发明可以自定义的漏洞框架，针对最新漏洞可以及时编写上传脚本进行检测，做到应急响应及时、准确。

本发明致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平，及时发现设备及系统面临的攻击风险。

实施例2

基于本发明实施例1提出的一种漏洞指纹静默分析监测的方法，本发明实施例2还提出了一种漏洞指纹静默分析监测的系统，该系统包括：训练模块、扫描模块和测绘模块；

训练模块用于训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；

扫描模块用于漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；

测绘模块用于漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

其中训练模块执行的详细过程为：本发明采用漏洞扫描引擎，用以对操作系统类漏洞、应用系统框架类漏洞以及weblogic、tomcat等常见中间件漏洞等进行准确扫描。

为保证漏洞脚本的准确性，每一个脚本都经过了不少于3次针对性的训练，并针对软硬件不同版本进行了优化。

本发明人提供了可以自定义的漏洞框架，针对最新漏洞可以及时上传POC进行检测，做到应急响应及时、准确，其中POC为一段说明或者一个攻击的样例。

其中POC漏洞样例进行检测的步骤为：

从公开漏洞网站爬取所需漏洞信息，使用YAML建立具体信息的漏洞描述文件，从公开漏洞网站爬取所需的poc文件，并转化为poc代码，使用YAML及poc代码建立检测所用的漏洞库；

将获取的poc代码集成到漏洞扫描引擎中；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

扫描模块执行的过程为：本发明利用端口开放情况、调用回显、探测识别等信息进行统一建模，通过建模算法对上千种不同的漏洞情况进行训练和学习，尽可能的减少误报、漏报，极大的节约了测试人员的时间成本。

其中建模算法的训练和学习步骤为：

收集一系列的硬件设施告警信息和软件系统的缺陷报告作为漏洞识别规则的输入，输入中的一部分与安全漏洞有关，另一部分与安全漏洞无关。

以上述输入作为待训练的训练集，对其进行特征提取，包括元特征、文本特征和代码特征。

在生成特征向量之后，利用支持向量机(SVM)作为漏洞自动化识别模型的框架，选择径向基函数(RBF)作为核函数，经过一系列的调参与训练，构建模型参数精确调整的漏洞自动化识别模型。

上述提取的多类特征用于生成每个训练样本的特征向量，每个特征向量有一个对应的标签标示缺陷报告的类型

本发明采用全自动AI识别机制可以通过自学习分析漏洞扫描扫结果，摆脱了以往只注重漏洞的扫描形式，专注于网络整体安全情况，通过对资产漏洞情况统计分析，及时了解网络安全漏洞脆弱点。

测绘模块实现的过程为：先将目标网络IT资产进行分析并建立知识库；

在探测漏洞的同时，可以生成相关资产报告，并按照安全设备、网络设备、普通终端、Web服务等6个维度细分终端；

绘制资产画像，可查询具体某个中间件、ftp服务的资产详情，快速发现违规端口、细粒度管控资产服务开放情况，做到资产一览无余。

本发明提出的一种漏洞指纹静默分析监测的系统，还包括展示模块，其中展示模块用于对UI进行了设计，支持图形化界面，即使不是专业的技术人员也能很好的使用。

实施例3

本发明还提出了一种设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现方法步骤如下：

如图1为本发明实施例1提出的一种漏洞指纹静默分析监测的方法流程图；

在步骤S101中，训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测。

本发明采用漏洞扫描引擎，用以对操作系统类漏洞、应用系统框架类漏洞以及weblogic、tomcat等常见中间件漏洞等进行准确扫描。

为保证漏洞脚本的准确性，每一个脚本都经过了不少于3次针对性的训练，并针对软硬件不同版本进行了优化。

本发明人提供了可以自定义的漏洞框架，针对最新漏洞可以及时上传POC进行检测，做到应急响应及时、准确，其中POC为一段说明或者一个攻击的样例。

其中POC漏洞样例进行检测的步骤为：

从公开漏洞网站爬取所需漏洞信息，使用YAML建立具体信息的漏洞描述文件，从公开漏洞网站爬取所需的poc文件，并转化为poc代码，使用YAML及poc代码建立检测所用的漏洞库；

将获取的poc代码集成到漏洞扫描引擎中；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

在步骤S102中，漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；本发明利用端口开放情况、调用回显、探测识别等信息进行统一建模，通过建模算法对上千种不同的漏洞情况进行训练和学习，尽可能的减少误报、漏报，极大的节约了测试人员的时间成本。

其中建模算法的训练和学习步骤为：

收集一系列的硬件设施告警信息和软件系统的缺陷报告作为漏洞识别规则的输入，输入中的一部分与安全漏洞有关，另一部分与安全漏洞无关。

以上述输入作为待训练的训练集，对其进行特征提取，包括元特征、文本特征和代码特征。

在生成特征向量之后，利用支持向量机(SVM)作为漏洞自动化识别模型的框架，选择径向基函数(RBF)作为核函数，经过一系列的调参与训练，构建模型参数精确调整的漏洞自动化识别模型。

上述提取的多类特征用于生成每个训练样本的特征向量，每个特征向量有一个对应的标签标示缺陷报告的类型

本发明采用全自动AI识别机制可以通过自学习分析漏洞扫描扫结果，摆脱了以往只注重漏洞的扫描形式，专注于网络整体安全情况，通过对资产漏洞情况统计分析，及时了解网络安全漏洞脆弱点。

在步骤S103中，漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

先将目标网络IT资产进行分析并建立知识库；

在探测漏洞的同时，可以生成相关资产报告，并按照安全设备、网络设备、普通终端、Web服务等6个维度细分终端；

绘制资产画像，可查询具体某个中间件、ftp服务的资产详情，快速发现违规端口、细粒度管控资产服务开放情况，做到资产一览无余。

在步骤S104中，本发明对UI进行了设计，支持图形化界面，即使不是专业的技术人员也能很好的使用。

本发明采用了漏洞指纹建模分析设计，在精准识别的基础上开展漏洞挖掘，尽可能的减少发包量，提高漏洞识别的准确性、可用性，目前机器人共集成了73个可用漏洞检测脚本，经过有监督学习，常用脚本的识别率已达到了98％。集成的漏洞脚本均经过了不少于3次的针对性训练，并在此基础上采取多方复核的方式，层层验证，尽可能减少对业务系统造成的影响。

本发明可以自定义的漏洞框架，针对最新漏洞可以及时编写上传脚本进行检测，做到应急响应及时、准确。

本发明致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平，及时发现设备及系统面临的攻击风险。

需要说明：本发明技术方案还提供了一种电子设备，包括：通信接口，能够与其它设备比如网络设备等进行信息交互；处理器，与通信接口连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的一种防御内核漏洞提权的方法，而所述计算机程序存储在存储器上。当然，实际应用时，电子设备中的各个组件通过总线系统耦合在一起。可理解，总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。可以理解，存储器可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，ReadOnly Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，RandomAccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。上述本申请实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP(Digital Signal Processing，即指能够实现数字信号处理技术的芯片)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的程序，结合其硬件完成前述方法的步骤。处理器执行所述程序时实现本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

实施例4

本发明还提出了一种可读存储介质，可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现方法步骤如下：

如图1为本发明实施例1提出的一种漏洞指纹静默分析监测的方法流程图；

在步骤S101中，训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测。

本发明采用漏洞扫描引擎，用以对操作系统类漏洞、应用系统框架类漏洞以及weblogic、tomcat等常见中间件漏洞等进行准确扫描。

为保证漏洞脚本的准确性，每一个脚本都经过了不少于3次针对性的训练，并针对软硬件不同版本进行了优化。

本发明人提供了可以自定义的漏洞框架，针对最新漏洞可以及时上传POC进行检测，做到应急响应及时、准确，其中POC为一段说明或者一个攻击的样例。

其中POC漏洞样例进行检测的步骤为：

从公开漏洞网站爬取所需漏洞信息，使用YAML建立具体信息的漏洞描述文件，从公开漏洞网站爬取所需的poc文件，并转化为poc代码，使用YAML及poc代码建立检测所用的漏洞库；

将获取的poc代码集成到漏洞扫描引擎中；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

在步骤S102中，漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；本发明利用端口开放情况、调用回显、探测识别等信息进行统一建模，通过建模算法对上千种不同的漏洞情况进行训练和学习，尽可能的减少误报、漏报，极大的节约了测试人员的时间成本。

其中建模算法的训练和学习步骤为：

收集一系列的硬件设施告警信息和软件系统的缺陷报告作为漏洞识别规则的输入，输入中的一部分与安全漏洞有关，另一部分与安全漏洞无关。

以上述输入作为待训练的训练集，对其进行特征提取，包括元特征、文本特征和代码特征。

在生成特征向量之后，利用支持向量机(SVM)作为漏洞自动化识别模型的框架，选择径向基函数(RBF)作为核函数，经过一系列的调参与训练，构建模型参数精确调整的漏洞自动化识别模型。

上述提取的多类特征用于生成每个训练样本的特征向量，每个特征向量有一个对应的标签标示缺陷报告的类型

本发明采用全自动AI识别机制可以通过自学习分析漏洞扫描扫结果，摆脱了以往只注重漏洞的扫描形式，专注于网络整体安全情况，通过对资产漏洞情况统计分析，及时了解网络安全漏洞脆弱点。

在步骤S103中，漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

先将目标网络IT资产进行分析并建立知识库；

在探测漏洞的同时，可以生成相关资产报告，并按照安全设备、网络设备、普通终端、Web服务等6个维度细分终端；

绘制资产画像，可查询具体某个中间件、ftp服务的资产详情，快速发现违规端口、细粒度管控资产服务开放情况，做到资产一览无余。

在步骤S104中，本发明对UI进行了设计，支持图形化界面，即使不是专业的技术人员也能很好的使用。

本发明采用了漏洞指纹建模分析设计，在精准识别的基础上开展漏洞挖掘，尽可能的减少发包量，提高漏洞识别的准确性、可用性，目前机器人共集成了73个可用漏洞检测脚本，经过有监督学习，常用脚本的识别率已达到了98％。集成的漏洞脚本均经过了不少于3次的针对性训练，并在此基础上采取多方复核的方式，层层验证，尽可能减少对业务系统造成的影响。

本发明可以自定义的漏洞框架，针对最新漏洞可以及时编写上传脚本进行检测，做到应急响应及时、准确。

本发明致力于减少内部漏洞，规范网络安全行为，提前发现并处置已有安全隐患，大幅度提升网络安全防护水平，及时发现设备及系统面临的攻击风险。

本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器，上述计算机程序可由处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例提供的一种漏洞指纹静默分析监测的处理设备和存储介质中相关部分的说明可以参见本申请实施例1提供的一种漏洞指纹静默分析监测的方法中对应部分的详细说明，在此不再赘述。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制。对于所属领域的技术人员来说，在上述说明的基础上还可以做出其它不同形式的修改或变形。这里无需也无法对所有的实施方式予以穷举。在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (10)

1.一种漏洞指纹静默分析监测的方法，其特征在于，包括以下步骤：

训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；

漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；

漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

2.根据权利要求1所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述方法还包括通过图像化界面显示所述资产报告。

3.根据权利要求1所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述漏洞扫描引擎应用的范围包括但不限于操作系统类漏洞、应用系统框架类漏洞和中间件漏洞。

4.根据权利要求3所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测的过程为：

获取所需漏洞信息和所需漏洞样例，并采用标记性语言建立漏洞信息描述文件、以及将漏洞样例转化为漏洞样例代码，使用标记性语言和漏洞样例代码建立漏洞库；

获取检测指令，加载漏洞检测列表；逐一对漏洞检测列表进行检测；

执行漏洞样例代码，记录漏洞样例的检测结果，所述检测结果和漏洞信息描述文件共同生成最终检测报告。

5.根据权利要求1所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述建模算法建立的过程为：

获取大量的硬件设施告警信息和大量软件系统的缺陷报告作为漏洞识别规则的训练集；

对所述训练集进行特征提取生成每个训练样本的特征向量；所述特征提取包括元特征、文本特征和代码特征；

特征向量生成之后，采用支持向量机作为漏洞自动化识别模型的框架，选择径向基函数作为核函数，进行调参和训练，构建出自动化识别模型。

6.根据权利要求5所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述漏洞扫描的同时，增加网络空间测绘功能生成资产报告的过程为：

通过分析目标网络的互联网资产建立知识库；

通过对终端进行分类，根据所述知识库生成相关资产报告。

7.根据权利要求6所述的一种漏洞指纹静默分析监测的方法，其特征在于，所述方法还包括：根据所述相关资产报告绘制资产画像，通过资产画像查询中间件或者ftp服务的资产详情，用于快速发现违规端口以及细粒度管控资产服务开放情况。

8.一种漏洞指纹静默分析监测的系统，其特征在于，包括训练模块、扫描模块和测绘模块；

所述训练模块用于训练漏洞扫描引擎的漏洞脚本，训练过的漏洞扫描引擎根据自定义漏洞框架，对漏洞样例进行检测；

所述扫描模块用于漏洞样例检测完成后，采用建模算法对漏洞情况进行训练和通过自学习分析漏洞扫描结果；

所述测绘模块用于漏洞扫描的同时，增加网络空间测绘功能生成资产报告。

9.一种设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任意一项所述的方法步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述的方法步骤。

Images